Hoje pela manha percebi que os log's na pagina principal estava sem log, como se alguém tivesse apagado, porem conforme print anexo essa possível invasão não foi bem sucedida pois deixaram rastro, por favor, mas alguém já passou por essa experiência consegue indicar alguns comando para verificar se não comprometeram o sistema?
Conforme os log's alguém pode dar uma força para evitar esse tipo de acesso? Ou corrigir essa falha?
Versão do MK 21.01 K3.1
IP que usaram: 185.220.101.211
Conforme whois a empresa dona desse bloco e : CIA TRIAD SECURITY LLC é usado por saída TOR
Respostas
é ai mesmo Rodrigo, o logout.php recebe o login do usuário pelo GET e esse GET estava sem filtro também amigo e obrigado Francisco pelo feedback...
Rodrigo Foureaux disse:
Após quatro dia de teste, esse problema me parece que resolvei estou com a ultima atualização 21,03 e não estou mais recebendo esse tipo de ataque, irei encerrar esse tópico, porem continuarei acompanhando, se voltar a ter problema voltarei a reabrir, obrigado pela atenção de todos e o empenho do Pedro.
Sim amigo, venho notificando o Pedro faz mais de mês sobre a falha, atualmente conseguimos criar um script e fizemos a distribuição em todas VM's de nossos clientes com mk-auth, o que solucionou os ataques temporariamente.
Infelizmente, ao meu ver, o Pedro está nem ai para a questão, pois não da um retorno que realmente seja confiável.
MK-Ninja disse:
Estou com o mesmo problema e esse é o ip da invasão (185.220.100.247)
o buraco é mais fundo Pedro.
O invasor consegue fazer injection e executar scripts dentro do servidor, não é só a mensagem no log não.
Tem alguma brecha aberta e ta sendo explorada!
Pedro Filho disse:
Rodrigo, voce consegue ajudar o Pedro nesse sentido para podermos ter mais segurança?
Pedro o problema nao é esse, o problema é que em alguma parte do sistema o cara esta conseguindo fazer um injecton no texto de mensagem do log e o mesmo esta sendo executado na pagina...
campo registro da tabelas sis_logs, veja todos os seus phps que gravam nesse campo, algum esta furado..
Te mandei mensagem no privado
Pedro Filho disse:
Pedro, muito obrigado irei fazer a a atualização e acompanhar para ver se resolveu.
Francisco nas versões anteriores o arquivo logout.php do webadmin estava com um problema, se acessar diretamente http://mk-auth/admin/logout.php o sistema fica incluindo no log mesmo sem ser um logout verdadeiro, mais já corrigir o problema e pode fazer um update amigo que está ok.
Francisco Fabio Fernandes David disse:
Rodrigo, ate que o Pedro consiga fazer alguma coisa para ajudar, queria ver contigo se eu consigo fazer alguma coisa para minimizar esse incidente, pelo seu conhecimento é possível fazer alguma coisa nesse momento para proteger o servidor?
Voce consegue passar o caminho desses arquivo para podermos efetuar a exclusão dos mesmos?
Voce pode passar o IP desse servidor onde esta hospedado desses Php para eu efetuar bloqueio no meu firewall?
-
1
-
2
-
3
de 3 Próximo